English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Messages posted by: havuanhle  XML
Profile for havuanhle Messages posted by havuanhle [ number of posts not being displayed on this page: 0 ]
 
Thảo luận thâm nhập  Empty  Go to message
Khi get user name với database name, nhưng get table lại dính 403 thì làm sao nhỉ?
Và một số site khi query lại hiện trang trắng kèm lỗi, có cách nào khai thác được không ạ
Mong các bác giải đáp.
Thảo luận bảo mật  Empty  Go to message
Về vấn đề này đã có một bài viết về cái này, nhưng mọi người viết lan man quá, em là newbie nên không lĩnh hội được. Phải tường tận cụ thể em mới biết được. Mong các bác tận tình chỉ bảo.
* Thứ nhất là về file config.php
Em đã đổi tên thư mục admincp và modcp trong file config cũng như tên thư mục thật. Nhưng em không rõ lắm về "Nên chèn các ký tự dạng @,_,# vào tên các thư mục này khi đổi tên", cụ thể nó như thế nào?
Còn việc giấu file config, em đổi tên nó, chưa thử đưa nó qua thư mục khác. Mở 2 file diagnostic.php trong thư mục admincp ( đã được đổi tên) và file class_core.php trong thư mục includes, dùng chức năng thay thế em replaceall từ config.php sang tên em đã đổi. Kết quả khi chạy /install/install.php nó báo lỗi thế này:
Startup Errors
Due to the following errors, the install/upgrade can not continue:

We were unable to locate the 'includes/config.php' file, please confirm that this file exists.

Không biết em còn thiếu sót chỗ nào nữa.
* Thứ 2 là về CHMOD.
Trên các diễn đang mạng có chỗ viết thế này, có chỗ viết thế kia.
Em mạn phép hỏi các bác cho chắc ăn smilie Thứ nhất là thư mục puplic_html, thứ 2 là 2 thư mục quan trọng admincp và modcp, thứ 3 là thư mục chứa file config (Nhân tiện cho em hỏi có phải đặt file này ở bất cứ thư mục nào cũng được hay không), thứ 4 là các tập tin còn lại nằm ở thư mục gốc (Không biết các tập tin nằm trong thư mục con thì sao smilie)
* Thứ 3: Cái này em chưa biết, ai có thêm kinh nghiệm bảo mật cho VBB chống local chỉ em với. Em cảm ơn nhiều ạ smilie
Thảo luận thâm nhập  Empty  Go to message

jin9x wrote:
ơ bạn này hay, vd nếu bạn có id nick admin là 1, cái chuỗi sau cố định để mình phục hồi lại được nick admin ấy hả
nó phải thay đổi và được lưu vào dữ liệu, phải là thành viên id 21 truy cập vào đúng cái link đó mới yêu cầu thay đổi mật khẩu được, đảm bảo tính bảo mật 


Em vẫn chưa hiểu lắm ý. Link em nhận được qua mail, đem copy qua máy khác vẫn vào được bác ạ. Vậy 40 kí tự sau cùng nó "mọc" đâu ra nhỉ smilie Khi mình yêu cầu đổi mật khẩu, rồi lại gửi thêm yêu cầu nữa nó vẫn cho link, vẫn cấu trúc ấy nhưng 40 kia tự sau lại khác. Truy cập vào chỉ 1 trong hai được cả (nếu vào cái này rồi thì không vào được cái kia). Còn việc phải thành viên ID 21 truy cập vào link đó thì... hihi ai mà biết được người click vào link là ai đâu mà smilie
Ý em là tìm xem cái phần quên mật khẩu này có khai thác được gì không, với dạng thức cấp lại mật khẩu như trên, nếu nhại được nó thì có thể đổi tất cả các pass của các thành viên trang diễn đàn. Chỉ cần thay đổi ID và hểu được 40 kí tự sau cùng nó có từ đâu ý smilie
Em nói sai chỗ nào các bác thông cảm giùm nha smilie
Thảo luận thâm nhập  Empty  Go to message
Các bác cho em hỏi nè. Đang "tìm hiểu" cái forum của đứa bạn, thấy cái phần lostpwd ý, khi yêu cầu quên mật khẩu, thì có mail xác nhận gửi về cho mình, với đường link có dạng như sau:
http://myforum.com/forum/login.php?a=pwd&u=21&i=025c1fbbced50ce22f44b45686050c6904c89d7f
Trong đó 21 là thứ tự thành viên, còn 40 kí tự sau cùng, nó ở đâu ra các bác nhỉ smilie các bác chỉ dùm em với smilie
Mỗi lần gửi yêu cầu thì 40 kí tự đó lại thay đổi, nó không cố định smilie
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|